Mange virksomheter lagrer enorme mengder ulovlige persondata, ifølge en undersøkelse som kompetansehuset BDO har gjort blant mer enn 800 norske ledere i offentlige og private virksomheter.
– Det er et betydelig stykke arbeid som det haster å komme i gang med for å unngå gebyrer og andre sanksjoner før den nye EU-regelen blir norsk lov i slutten av mai i år, sier personvernekspert Henrik Dagestad til Avisenes Nyhetsbyrå (ANB).
4 av 10 mangler oversikt
Det er under to måneder til EUs forordning for personvern, GDPR, blir norsk lov. Det betyr at vi får nye regler for personvern i Norge. Det nye regelverket gir virksomheter nye plikter og enkeltpersoner nye rettigheter.
Hele fire av ti spurte i undersøkelsen oppgir at de ikke har oversikt over alle personopplysningene som behandles i virksomheten. Nesten like mange sier at de heller ikke har gjort en risikovurdering i forbindelse med behandlingen av personopplysninger.
– Dette kan få store konsekvenser for norske bedrifter, både rent økonomisk, men også når det gjelder omdømme, sier Dagestad.
Rydd opp!
Han anbefaler alle virksomheter å ta en skikkelig vårrengjøring og kvitte seg med data man ikke har rettslig grunnlag for å behandle.
– Virksomhetene må se på dette som en fin mulighet til å få bedre oversikt over alle opplysningene de faktisk behandler, sier den erfarne advokaten.
Det er dessuten en klar tendens til at de store virksomhetene føler at de er mer forberedt enn de mindre. Nesten hver tredje virksomhet med under 50 ansatte sier at de er lite forberedt på den nye EU-forordningen.
Saken fortsetter under bildet.
Risiko for avvik
Totalt for alle norske virksomheter er mer enn én av fire lite forberedt på det nye personvernregelverket. Mindre virksomheter må ha en mer risikobasert tilnærming:
– Selv om GDPR vil ha betydning for de aller fleste norske virksomheter, bør du som leder i en liten eller mellomstor bedrift heller ha en risikobasert tilnærming. Man må kartlegge personopplysningene som behandles og avklare hvor risikoen for avvik er størst. Det kan ikke kreves at disse virksomhetene skal ha en like omfattende internkontroll som de store, sier Dagestad.
Mange norske virksomheter kan sannsynligvis se tilbake på flere tiår med unnlatelsesynder på dette området.
Henrik Dagestad, personvernekspert
Krav om rutiner
Den nye EU-forordningen GDPR krever at man, uavhengig av størrelsen på virksomheten, har en rutine for sletting av personopplysninger og at denne følges aktivt.
Ifølge Dagestad er det få personopplysninger som kan lagres til «evig tid».
– Mange norske virksomheter kan sannsynligvis se tilbake på flere tiår med unnlatelsesynder på dette området, sier han.
– Innføringen av GDPR betyr ikke bare at man må få på plass nødvendige rutiner. Det er også en unik mulighet til å få gjennomført en nasjonal vårrengjøring i de digitale arkivene og databasene. Jeg er overbevist om at de aller fleste virksomheter sitter på store mengder data de verken har lov eller rett til å oppbevare, sier personverneksperten. (ANB)